Как посмотреть информацию о входах в Windows 10


Как включить отображение информации о предыдущих попытках входа в Windows 10

Следите за успешными и неудачными попытками входа в систему при авторизации в Windows 10.

Windows 10 имеет много функций безопасности для защиты учетной записи и данных от посторонних глаз. Пользователь получает такие функции, как защита паролем, двухфакторная аутентификация и использование PIN в качестве вспомогательного метода аутентификации. Все они значительно усложняют задачу взлома аккаунта.

Тем не менее, несмотря на все предлагаемые меры безопасности, при использовании компьютера в условиях, когда другие пользователи имеют физический доступ к устройству, бывает очень сложно определить, использовался ли компьютер посторонними лицами.

К счастью, при использовании локального аккаунта в Windows 10, у пользователей есть возможность просмотреть информацию о предыдущих попытках авторизации (как успешных, так и потерпевших неудачу). Эти данные позволяют выяснить, пытался ли кто-либо получить доступ к компьютеру без авторизации. На их основе можно сделать вывод о необходимости усиления защиты устройства.

В данном руководстве приведем все шаги использования редактора групповых политик и реестра для отображения информации о последних входах и неудачных попытках доступа к аккаунту с момента последнего интерактивного входа в систему.

Как включить отображение информации о последних попытках входа с помощью локальных групповых политик

Пользователи Windows 10 Pro, Enterprise или Education могут использовать редактор локальной групповой политики для включения отображения информации о последних попытках входа.

Для того нужно проделать следующие шаги:

  1. Нажмите сочетание клавиш Windows + R для открытия диалогового окна “Выполнить”.
  2. Введите gpedit.msc и нажмите OK для открытия редактора локальных групповых политик.
  3. Перейдите по пути: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Параметры входа Windows
  4. В правой области выберите политику под названием “Отображать при входе пользователя сведения о предыдущих попытках входаОтображать при входе пользователя сведения о предыдущих попытках входа
  5. В верхней левой области выберите опция “Включено”, чтобы активировать политику. Включено
  6. Нажмите “Применить”.
  7. Нажмите “ОК”, чтобы завершить задание.

В любое время вы можете отменить изменения, выполнив те же шаги, но на 5 шаге нужно выбрать опцию “Не задано”.

Как включить отображение информации о последних попытках входа с помощью реестра

При использовании Windows 10 Домашняя пользователь не имеет доступа к редактору локальной групповой политики. Тем не менее, таких же результатов можно добиться при использовании редактора реестра.

Важно: Редактирование реестра может привести к необратимому нарушению работы системы, если вы сделаете что-то неправильно. Рекомендуется сделать полную резервную копию компьютера перед началом работы.

  1. Нажмите сочетание клавиш Windows + R для открытия диалогового окна “Выполнить”.
  2. Введите regedit и нажмите OK для открытия редактора реестра.
  3. Перейдите по пути: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
  4. Выберите раздел System, нажмите правой кнопкой мыши и выберите опцию “Создать > Параметр DWORD (32 бита)Как включить отображение информации о последних попытках входа с помощью реестра.
  5. Назовите параметр DWORD DisplayLastLogonInfo и нажмите Enter.
  6. Дважды кликните по созданному параметру DWORD и измените значение с 0 на 1. DisplayLastLogonInfo
  7. Закройте редактор реестра, чтобы завершить задание.
Новые статьи:  Устранение ошибки диска MBR во время инсталляции Windows 10

В любое время вы можете отменить изменения, выполнив те же шаги, но на 6 шаге нужно изменить значение DWORD с 1 на 0.

После выполнения всех этих шагов, вы можете перезагрузить компьютер. После того при попытке входа в локальную учетную запись вы увидите первое сообщение об интерактивном входе в учетную запись.

Вход в локальную учетную запись

Во время последующих авторизаций пользователь увидит информацию о предыдущих попытках входа.

Заключение

Хотя данная функция не позволит предотвратить несанкционированный доступ к компьютеру, вы по крайней мере узнаете, что кто-то смог взломать локальный аккаунт или пытался безуспешно угадать ваш пароль.

Несмотря на то, что данное руководство предназначено для Windows 10, функция отображения информации о последних входах давно присутствует в системах Windows, а значит эти шаги должны также сработать в Windows 7 и Windows 8.1.

Аудит события входа пользователей в Windows

16.11.2022

itpro

Active Directory, PowerShell, Windows 10, Windows Server 2019

комментария 2

При расследовании различных инцидентов администратору необходимо получить информацию кто и когда заходил на определенный компьютер Windows. Историю входов пользователя в доменной сети можно получить из журналов контроллеров домена. Но иногда проще получить информацию непосредсвенно из логов компьютера. В этой статье мы покажем, как получить и проанализировать историю входа пользователей на компьютер/сервер Windows. Такая статистика поможет вам ответить на вопрос “Как в Windows проверить кто и когда использовал этот компьютере”.

Настройка политики аудита входа пользователей в Windows

Сначала нужно включить политик аудита входа пользователей. На отдельностоящем компьютере для настройки параметров локальной групповой политики используется оснастка gpedit.msc. Если вы хотите включить политику для компьютеров в домене Active Directorty, нужно использовать редактор доменных GPO ( gpmc.msc ).

  1. Запустите консоль GPMC, создайте новую GPO и назначьте ее на Organizational Units (OU) с компьютерами и / или серверами, для которых вы хотите включить политику аудита событий входа;
  2. Откройте объект GPO и перейдите в раздел Computer Configuration -> Policies -> Windows Settings -> Security Settings –> Advanced Audit Policy Configuration -> Audit Policies -> Logon/Logoff;
  3. Включите две политики аудита Audit Logon и Audit Logoff. Это позволит отслеживать как события входа, так и события выхода пользователей. Если вы хотите отслеживать только успешные события входа, включите в настройках политик только опцию Success;

груповая политика - аудит событий входа на компьютеры windows

  • Закройте редактор GPO и обновите настройки политик на клиентах.
  • Поиск событий входа пользователей в журнале событий Windows

    После того как вы включили политики аудита входа, при каждом входе пользователя в Windows в журнале Event Viewer будет появляться запись о входе. Посмотрим, как она выглядит.

    Новые статьи:  Как узнать индекс производительности компьютера на Windows 10

    фильтр событий event viewer

    1. Откройте оснастку Event Viewer ( eventvwr.msc );
    2. Разверните секцию Windows Logs и выберите журнал Security;
    3. Щелкните по нему правой клавишей и выберите пункт Filter Current Log;
    4. В поле укажите ID события 4624 и нажмите OK;
    5. В окне события останутся только события входа пользователей, системных служб с описанием An account was successfully logged on ;
    6. В описании события указано имя и домен пользователя, вошедшего в систему:

    New Logon: Security ID: WINITPRO\a.khramov Account Name: a.khramov Account Domain: WINITPRO

    событие eventid 4626 - локальный вход пользователя в windows

    Ниже перечислены другие полезные EventID:

    Event IDОписание
    4624A successful account logon event
    4625An account failed to log on
    4648A logon was attempted using explicit credentials
    4634An account was logged off
    4647User initiated logoff

    Если полистать журнал событий, можно заметить, что в нем присутствуют не только события входа пользователей на компьютер. Здесь также будут события сетевого доступа к этому компьютеру (при открытии по сети общих файлов или печати на сетевых принтерах), запуске различных служб и заданий планировщика и т.д. Т.е. очень много лишний событий, которые не относятся ко входу локального пользователя. Чтобы выбрать только события интерактивного входа пользователя на консоль компьютера, нужно дополнительно сделать выборку по значению параметра Logon Type. В таблице ниже перечислены коды Logon Type.

    Код Logon TypeОписание
    0System
    2Interactive
    3Network
    4Batch
    5Service
    6Proxy
    7Unlock
    8NetworkCleartext
    9NewCredentials
    10RemoteInteractive
    11CachedInteractive
    12CachedRemoteInteractive
    13CachedUnlock

    При удаленном подключении к рабочему столу компьютера по RDP, в журнале событий появится записи с Logon Type 10 или 3. Подробнее об анализе RDP логов в Windows.

    В соответствии с этой таблицей событие локального входа пользователя на компьютер должно содержать Logon Type: 2.

    Этот код событий появляется при автоматическом входе в Windows.

    Для фильтрации события входа по содержать Logon Type лучше использовать PowerShell.

    Анализ событий входа пользователей в Windows с помощью PowerShell

    Допустим, наша задача получить информацию о том, какие пользователи входили на этот компьютер за последнее время. Нам интересует именно события интерактивного входа (через консоль) с LogonType =2 . Для выбора события из журналов Event Viewer мы воспользуемся командлетом Get-WinEvent.

    Следующий PowerShell скрипт выведет история входа пользователей на текущий компьютер и представит ее в виде графической таблицы Out-GridView.

    poweshell скрипт для получения списка пользователей, которые входили на этот компьтер

    Если нужно выбрать события входа за последние несколько дней, можно добавить pipe с таким условием:

    Командлет Get-WinEvent позволяет получить информацию с удаленных компьютеров. Например, чтобы получить историю входов с двух компьютеров, выполните следующий скрипт:

    ‘msk-comp1’, ‘msk-comp2’ |
    ForEach-Object Get-WinEvent -ComputerName $_ -FilterXml $query | Select-Object $properties
    >

    Если протокол RPC закрыт между компьютерами, вы можете получить данные с удаленных компьютеров с помощью PowerShell Remoting командлета Invoke-Command:

    Предыдущая статья Следующая статья

    Как посмотреть, кто и когда входил в систему

    Вы когда-нибудь хотели следить за тем, кто и когда входил в систему, установленную на вашем компьютере. На профессиональных изданиях Windows специально для этого существует политика аудита входа, о которой мы сейчас и поговорим.

    Смотрим кто и когда из пользователей входил в систему на вашем компьютере

    «Аудит событий входа в систему» отслеживает как локальные, так и сетевые входы. При каждом входе определяется учетная запись пользователя и время, в которое состоялся вход. Также вы сможете узнать, когда пользователь вышел из системы.

    Включаем «Аудит входа в систему»

    Во-первых, откройте «Редактор локальной групповой политики» – откройте меню «Пуск», в поисковую строку введите gpedit.msc и нажмите Enter.

    14-09-2012 15-29-13

    В левой части окна проследуйте по следующему пути: Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Политика аудита.

    14-09-2012 15-29-54

    Дважды кликните по политике «Аудит событий входа в систему» в правой части окна. В диалоговом окне «Свойства» отметьте галочкой параметр «Успех» для того, чтобы позволить отслеживание успешных входов в систему. Также вы можете включить параметр «Отказ» – так вы позволите отслеживание неудачных попыток входа.

    14-09-2012 15-30-50

    Просматриваем события входа в систему

    После включения этого параметра, Windows начнет регистрировать (в журнал безопасности) все события входа в систему, в том числе имя пользователя и время. Чтобы увидеть эти события, запустите инструмент «Просмотр событий» – откройте меню «Пуск», в строку поиска введите текст «Просмотр событий» и нажмите клавишу Enter.

    14-09-2012 15-31-28

    Далее перейдите в «Журналы Windows» и выберите категорию «Безопасность». Нас интересуют события с кодом 4624 – это события успешного входа в систему.

    14-09-2012 15-32-42

    Чтобы увидеть больше информации, включая имя учетной записи пользователя, входившего в систему, дважды щелкните по событию. Прокручивая вниз текстовое поле, вы увидите всю необходимую информацию.

    14-09-2012 15-33-11

    Если вы хотите, чтобы в журнале безопасности отображались исключительно события входа, нажмите на кнопку «Фильтровать текущий журнал», которая расположена в боковой панели справа и в появившемся окне отфильтруйте события как на скриншоте ниже:


    Оставьте комментарий